AWS CloudTrail および Amazon EventBridge によるデフォルト暗号化のモニタリング - Amazon Simple Storage Service

AWS CloudTrail および Amazon EventBridge によるデフォルト暗号化のモニタリング

重要

Amazon S3 では、Amazon S3 内のすべてのバケットの基本レベルの暗号化として、Amazon S3 が管理するキー (SSE-S3) によるサーバー側の暗号化が適用されるようになりました。2023 年 1 月 5 日以降、Amazon S3 にアップロードされるすべての新しいオブジェクトは、追加費用なしで、パフォーマンスに影響を与えずに自動的に暗号化されます。S3 バケットのデフォルト暗号化設定と新しいオブジェクトのアップロードのための自動暗号化ステータスは、AWS CloudTrail ログ、S3 インベントリ、S3 ストレージレンズ、Amazon S3 コンソール、および AWS Command Line Interface と AWS SDK の追加の Amazon S3 API レスポンスヘッダーとして利用できるようになりました。詳細については、「デフォルト暗号化に関するよくある質問」を参照してください。

AWS CloudTrail イベントを使用して、Amazon S3 バケットのデフォルトの暗号化設定リクエストを追跡できます。CloudTrail ログでは、以下の API イベント名が使用されます。

  • PutBucketEncryption

  • GetBucketEncryption

  • DeleteBucketEncryption

これらの API コールの CloudTrail イベントと一致するように EventBridge ルールを作成することもできます。CloudTrail イベントの詳細については、[コンソールを使用してバケット内のオブジェクトのログ記録を有効にする] を参照してください。EventBridge イベントの詳細については、「AWS のサービス からのイベント」を参照してください。

オブジェクトレベルの Amazon S3 アクションに CloudTrail ログを使用して、Amazon S3 への PUT および POST リクエストを追跡できます。これらのアクションを使用すると、受信 PUT リクエストに暗号化ヘッダーがない場合に、デフォルトの暗号化を使用してオブジェクトが暗号化されているかどうかを確認できます。

デフォルトの暗号化設定を使用して Amazon S3 がオブジェクトを暗号化すると、ログには名前と値のペアとして、"SSEApplied":"Default_SSE_S3""SSEApplied":"Default_SSE_KMS"、または "SSEApplied":"Default_DSSE_KMS" フィールドの 1 つが含まれます。

PUT の暗号化ヘッダーを使用して Amazon S3 がオブジェクトを暗号化すると、ログには名前と値のペアとして、"SSEApplied":"SSE_S3""SSEApplied":"SSE_KMS""SSEApplied":"DSSE_KMS"、または "SSEApplied":"SSE_C" フィールドの 1 つが含まれます。

マルチパートアップロードについては、この情報は InitiateMultipartUpload API リクエストに含まれています。CloudTrail と CloudWatch の併用の詳細については、「Amazon S3 のモニタリング」を参照してください。